EU Datenschutz Grundverordnung (DSGVO) – Was sich für Unternehmen 2018 ändert

Am 25. Mai 2018 tritt die neue EU-Datenschutz Grundverordnung (DSGVO) in Kraft. Darin werden neue Anforderungen an den Datenschutz aufgestellt, die alle Unternehmen, die in der EU personenbezogene Daten – wie zum Beispiel Kundendaten, aber auch IP-Adressen – erheben oder verarbeiten, beachten müssen. Eine Übergangs- bzw. Schonfrist gibt es nicht. Ab dem 25.05.2018 müssen alle nötigen Handlungen zur Anpassung vollzogen sein, sonst drohen hohe Bußgelder, Sanktionen und kostenpflichtige Abmahnungen von Mitbewerbern, Verbraucherverbänden oder der Wettbewerbszentrale. Dabei wird die DSGVO durch das ebenfalls überarbeitete Bundesdatenschutzgesetz (BSDG) ergänzt, wobei die DSGVO jedoch vorrangig gilt. 

Saftige Strafen in Höhe von bis zu 20.000.000 € drohen!

Auf der einen Seite ist Datenschutz lästig und kostet viel Zeit und Geld. Wir verstehen das. 

Auf der anderen Seite spielen Daten mit fortschreitender Digitalisierung eine immer größere Rolle im Wirtschaftsleben. Deshalb sollten für den Umgang mit diesen Daten auch klare Spielregeln gelten, die von allen Beteiligten ernst genommen werden sollten. Hier setzt die DSGVO an. 

Die neuen Datenschutzrichtlinien sehen daher sehr hohe Bußgelder vor. Je nach Schwere des Verstoßes können Strafen von bis zu 4 % des weltweit erzielten Jahresumsatzes des vorherigen Geschäftsjahres eines Unternehmens verhängt werden. Maximale Strafe ist nach neustem Bußgeldkatalog 20 Millionen Euro. Selbst für große Unternehmen wie Facebook oder Google kann ein Verstoß also ernsthafte Konsequenzen haben, weshalb die Anpassungen an die DSGVO dort auch schon auf Hochtouren laufen dürften. 

Können Verstöße gegen die DSGVO kostenpflichtig abgemahnt werden?

In einigen Fällen kann die Verletzung von Datenschutzrecht nach der DSGVO auch als unlauterer Wettbewerb durch Mitbewerber abgemahnt werden. Dies ist dann der Fall, wenn es sich bei der Datenschutznorm um eine „Marktverhaltensregelung“ im Sinne des Wettbewerbsrechts handelt, zum Beispiel bei einem Verstoß gegen Informationspflichten nach Art. 12-14 DSGVO in der Datenschutzerklärung auf Ihrer Website, z. B. Informieren über das Beschwerderecht bei der Aufsichtsbehörde für den Datenschutz oder die Angabe der Rechtsgrundlagen der Datenerhebung und -verarbeitung, die Kontaktdaten des Datenschutzbeauftragten oder bei der Datenschutzfolgenabschätzung oder einer fehlender oder fehlerhafter Einwilligung nach Art. 6 – 8 DSGVO. Die Rechtsprechung in den nächsten Jahren wird zeigen, ob sich aufgrund der DSGVO noch weitere Abmahngründe ergeben. Dies wäre zum Beispiel bei Verstößen gegen die Datensicherheit gemäß Art. 32 DSGVO denkbar.

Was muss ich zur Einhaltung der neuen EU-DSGVO Vorschriften ab 2018 ändern? 

Die Datenschutz-Grundverordnung stellt eine Vielzahl neuer Regelungen, von denen wir als Kanzlei für Datenschutzrecht viele auch schon vor in Kraft treten der DSGVO als best practices berücksichtigt haben, wenn wir zum Beispiel Datenschutzerklärungen für unsere Mandanten erstellt haben. Unternehmen, die bereits nach DIN ISO 9001 oder DIN ISO 27001 zertifiziert sind, sind zwar grundsätzlich klar im Vorteil gegenüber Unternehmen, die es mit dem Datenschutz bisher nicht so genau genommen haben. Doch auch bei ihnen lohnt es sich, einmal prüfen zu lassen, ob die neuen Vorschriften der DSGVO zum Datenschutz eingehalten werden.

Brauchen Sie einen Datenschutzbeauftragten?

Zu den neuen Vorschriften der Datenschutz-Grundverordnung gehört auch Art. 37 DSGVO, der die Pflicht zur Einstellung eines sogenannten Datenschutzbeauftragten regelt. Dieser ist in Unternehmen Pflicht, in denen 10 oder mehr Personen mit der automatisierten Datenverarbeitung am Computer beschäftigt sind. Hierfür reicht es aus, wenn die Mitarbeiter Zugriff auf Kundenverzeichnisse oder Ähnliches haben. Der Datenschutzbeauftragte muss dann ab Mai 2018 gem. Art. 39 DSGVO beispielsweise folgende Aufgaben übernehmen: 

• Beratung der Verantwortlichen 
• Überwachung der Einhaltung der neuen Vorschriften und 
• Kontakt zur Aufsichtsbehörde pflegen. 

Haben Sie schon geprüft, ob Sie einen Datenschutzbeauftragten benötigen?

Neue Pflicht bei sensiblen Daten: Datenschutzfolgeabschätzung (DSFA)

Außerdem neu ist die Datenschutzfolgeabschätzung (DSFA). Diese wurde zum Schutz besonders sensibler Daten, wie beispielsweise Informationen über ethnische Herkunft oder politische Einstellung der Betroffenen, entwickelt. Da diese Daten äußerst missbrauchsgefährdet sind, sichert ihnen die DSGVO verstärkten Schutz zu. Dies soll durch bessere Dokumentation der Datenerhebung und eine genauere Nachvollziehbarkeit der Datennutzung erfolgen. Die Datenschutzfolgeabschätzung dürfte jedoch insgesamt nur einen kleinen Anwendungsbereich haben und ist nur verpflichtend für Unternehmen, die sehr sensible Daten speichern, zum Beispiel für Arztpraxen.

Datenübertragbarkeit – Daten müssen „mitgenommen“ werden können!

Eine weitere große Neuerung ist die Pflicht zur Ermöglichung der Datenübertragbarkeit von einem Unternehmen zu einem anderen. Der Betroffene soll zukünftig alle übermittelten Daten als Datenpaket zu einem neuen Unternehmen mitnehmen können, also beispielsweise von einem Social-Media-Profil zum anderen. Hier ist äußerst fraglich, wie dies in der Praxis verwirklicht werden kann. Die Zukunft wird es zeigen. 

Ist die Datenschutzerklärung auf Ihrer Website rechtssicher? 

Als Anwalt für Datenschutzrecht empfehlen wir allen Unternehmen, die Datenschutzerklärung ihrer Website rechtzeitig vor Inkrafttreten der DSGVO am 25.05.2018 von einem Rechtsanwalt für Datenschutzrecht prüfen zu lassen. 

Gerne klären wir für Sie ab, ob Ihre Datenschutzerklärung nach der DSGVO rechtssicher ist. Als Kanzlei für Datenschutzrecht stehen wir an Ihrer Seite! 

Wir freuen uns darauf, Sie kennenzulernen. 

Ihr Rechtsanwalt, Thomas Seidel 

copy & right Rechtsanwaltskanzlei